Académique Documents
Professionnel Documents
Culture Documents
2. L'évaluation des risques qui correspond au processus par lequel l'Organisation identifie les risques
pouvant l'empêcher d'atteindre ses objectifs, les évalue, les hiérarchise et définit les modalités de
traitement appropriées.
3. Les activités de contrôle qui représentent les actions définies par les règles et procédures qui
visent à apporter l'assurance raisonnable que les instructions du management pour maîtriser les
risques susceptibles d'affecter la réalisation des objectifs sont mises en œuvre.
COSO 2 s'appuie sur le cadre de contrôle interne (COSO 1, 1992), corrige et complète le concept de
Contrôle interne en élargissant la réflexion sur un thème plus global de gestion des risques. Vise à
répondre aux besoins des entreprises et organisations en contrôle interne tout en leur permettant
d'évoluer vers un processus de management des risques plus développé.
2- La fixation des objectifs ; La détermination des objectifs appropriés pour toutes les activités de
l'organisation est un facteur essentiel de réussite. C'est par rapport aux objectifs que l'organisation
identifie les risques qui peuvent menacer, justement, l'atteinte de ces objectifs.
3- L'identification des événements ; L'identification des événements, qui sont source de risque ou
d'opportunité, est à la base du management des risques.
Selon le cadre COSO, « un événement est un incident ou une occurrence, d'origine interne ou
externe, qui affecte la mise en œuvre ou l'atteinte des objectifs. Les événements peuvent avoir un
impact positif, négatif ou les deux »
4- L'évaluation des risques ; Evaluer un risque consiste à en apprécier la gravité estimée sur la base de
la combinaison : Probabilité d'occurrence x impact
Risque inhérent et risque résiduel : Le risque inhérent est défini par le cadre COSO comme étant «
celui auquel une entité est exposée en l'absence de mesures correctives pour en modifier la
probabilité d'occurrence ou l’impact » alors que « le risque résiduel est le risque auquel l'entité reste
exposée après la prise en compte des solutions mises en œuvre par le management ».
La démarche consiste à évaluer le risque inhérent dans un premier temps puis, une fois les réponses
définies, l'évaluation porte sur les risques résiduels.
5- Le traitement des risques : Le cadre COSO retient quatre types de traitement des risques
(l'évitement, la réduction, le partage et l'acceptation)
6- Les activités ou les points de contrôle ; Les activités de contrôle sont constituées des politiques et
des procédures qui permettent de s'assurer que les traitements des risques fonctionnent et que les
activités se déroulent sous contrôle. (- Les contrôles préventifs ; Les contrôles protectifs)
8- Le pilotage : La qualité et l'efficacité d'un système de management des risques sont fonction de la
vigueur et de l'efficacité du pilotage du dispositif de management des risques dans son ensemble.
Le pilotage est réalisé de deux manières qui interagissent, se complètent et se combinent, à savoir :
Les différents outils de pilotage donnent lieu à un reporting sur les défaillances du dispositif de
gestion des risques. Le pilotage est efficace lorsqu'il permet de résoudre les problèmes et assurer
l'amélioration continue du système.
3. L'audit interne : il constitue la troisième et dernière ligne de maîtrise et a pour rôle de fournir aux
organes de gouvernance une assurance indépendante et objective sur les processus de management
des risques et de contrôle interne et en particulier sur l'existence et le fonctionnement des 2
premières lignes de défense. La réussite du modèle dépend de l'impulsion donnée par le top
management et les organes de gouvernance qui ne font partie d'aucune des 3 lignes.